FBI cảnh báo bộ công cụ lừa đảo Kali365 đánh cắp mã OAuth của Microsoft quy mô lớn

Cục Điều tra Liên bang Mỹ (FBI) vừa ban hành một cảnh báo công cộng về một bộ công cụ lừa đảo mới đang đánh cắp mã thông báo OAuth của Microsoft với tốc độ đáng báo động. Việc đánh cắp mã thông báo OAuth đang trở thành cơn ác mộng của các tổ chức, bởi vì những mã này cho phép tội phạm mạng vượt qua xác thực đa yếu tố (MFA) và truy cập vào các tài khoản quyền hạn mà không cần biết mật khẩu. Hậu quả có thể dẫn đến gián điệp công nghiệp, đánh cắp dữ liệu hoặc thậm chí là mã độc tống tiền.

Kẻ đứng sau làn sóng tấn công này là Kali365, một nền tảng lừa đảo dưới dạng dịch vụ (Phishing-as-a-Service) đang được rao bán trên kênh Telegram, lần đầu tiên được các chuyên gia an ninh mạng phát hiện vào tháng 4 năm 2026.

Kali365 hạ thấp rào cản tấn công

Theo FBI, Kali365 hạ thấp đáng kể rào cản gia nhập cho tội phạm mạng, cung cấp cho những kẻ tấn công không có nhiều kỹ thuật công nghệ cao các công cụ tinh vi. Nền tảng này cung cấp các mồi nhử lừa đảo do AI tạo ra, mẫu chiến dịch tự động hóa, bảng điều khiển theo dõi mục tiêu theo thời gian thực và khả năng bắt giữ mã thông báo OAuth.

Các bộ công cụ lừa đảo không phải là mới mẻ, nhưng những phiên bản hiệu quả như Kali365 lại gây ra những vấn đề đặc biệt nghiêm trọng. Theo công ty an ninh mạng Arctic Wolf, Kali365 cho phép kẻ tấn công gửi các email lừa đảo rất thuyết phục, mạo danh các "dịch vụ năng suất đám mây và chia sẻ tài liệu đáng tin cậy" như Adobe Acrobat Sign, DocuSign và SharePoint.

Cơ chế tấn công vượt qua MFA

Quy trình tấn công của Kali365 rất tinh vi. Email lừa đảo chứa một mã thiết bị và hướng dẫn nạn nhân nhập mã này vào trang đăng nhập hợp pháp của Microsoft (liên kết thực được đính kèm trong email).

Khi nạn nhân nhập mã, thiết bị của kẻ tấn công sẽ được đăng ký vào tài khoản Microsoft 365 của nạn nhân mà họ không hề hay biết. Điều này hiệu quả là giao quyền truy cập hoàn toàn vào email, Teams và tất cả dữ liệu khác. Đáng lo ngại là quá trình này không yêu cầu xác thực MFA từ phía kẻ tấn công.

Ngoài phương pháp lừa đảo mã thiết bị, Arctic Wolf nhận thấy Kali365 còn cung cấp khả năng tấn công "Kẻ đối thủ ở giữa" (Adversary-in-the-middle - AitM).

Trong phương thức thứ hai này, nạn nhân nhận được email chứa mồi nhử dựa trên cookie, giúp chuyển tiếp trình duyệt của họ thông qua cơ sở hạ tầng do kẻ tấn công kiểm soát. Các yêu cầu sau đó được chuyển tiếp đến trang đăng nhập thật của Microsoft, và phản hồi được gửi lại cho nạn nhân. Nạn nhân xác nhận theo cách bình thường với thông tin đăng nhập hợp lệ và vượt qua MFA của Microsoft.

Trong quá trình này, cookie phiên, các tạo tác liên quan và thông tin phiên khác bị thu thập và lưu trữ trong bảng điều khiển của kẻ tấn công. Từ đó, chúng có thể tạo các tập lệnh để phát lại các phiên đó trong môi trường của riêng mình, mượn hiệu quả phiên làm việc của người dùng thật.

Mô hình kinh doanh và giá cả

Phân tích cho thấy Kali365 hoạt động với ba cấp độ thuê bao khác nhau:

• Client Tier: Dành cho các kẻ tấn công cá nhân, có thể thay đổi thương hiệu trên bảng điều khiển.
• Agent Tier: Dành cho người bán lại, có thể cung cấp và quản lý các bảng điều khiển Kali365 có thương hiệu riêng.
• Admin Tier: Dành riêng cho các nhà phát triển của Kali365.

Kali365 có cấu trúc giá đơn giản: 250 USD mỗi tháng cho mỗi khách thuê, hoặc 2.000 USD cho một năm. Nền tảng này hỗ trợ nhiều ngôn ngữ bao gồm tiếng Ả Rập, Trung Quốc, Hà Lan, Anh, Pháp, Đức, Ý, Nhật Bản, Hàn Quốc, Ba Lan, Bồ Đào Nha, Nga, Tây Ban Nha và Thổ Nhĩ Kỳ.

Kể từ khi xuất hiện vào tháng 4, Kali365 thường được nhắc đến cùng với EvilTokens - một nền tảng lừa đảo mã thiết bị khác cũng gây tiếng vồn lớn sau khi Microsoft xác nhận có hàng trăm trường hợp bị xâm nhập mỗi ngày.

Tanmay Ganacharya, Phó chủ tịch Nghiên cứu An ninh tại Microsoft, cho biết: "Mỗi chiến dịch được phân phối ở quy mô lớn, nhắm đến hàng trăm tổ chức với các tải trọng độc đáo và đa dạng, làm cho việc phát hiện dựa trên mẫu mã trở nên khó khăn hơn."

Khuyến nghị phòng thủ

Cả Arctic Wolf và FBI đều khuyến nghị các tổ chức có nguy cơ nên sử dụng chính sách truy cập có điều kiện (conditional access policies) để chặn luồng mã thiết bị ở những nơi không cần thiết.

Các chuyên gia phòng thủ cũng nên cân nhắc chặn các chính sách chuyển chuyển xác thực, tính năng cho phép người dùng chuyển xác thực giữa các thiết bị như PC và điện thoại, nhằm giảm thiểu rủi ro bị đánh cắp phiên làm việc.